Компания ESET – лидер в области информационной безопасности – предупреждает о распространении двух бэкдоров через профили Facebook. Вредоносные программы для Android, известные как 888 RAT и SpyNote, были замаскированы под легитимные приложения.
Исследователи ESET обнаружили 6 аккаунтов, которые использовались для распространения шпионских программ в открытых группах Facebook, общее число подписчиков которых достигало 11 000. Стоит отметить, что по количеству выявленных образцов этого вредоносного программного обеспечения Украина оказалась на втором месте (8,4%).
Рис.1. Выявление бэкдора 888 RAT для Android по странам.
«ESET сообщила об этих профилях Facebook, после чего аккаунты были удалены. Два профиля были нацелены на технических пользователей, а еще четыре – на сторонников бывшего президента Курдистана», – комментирует Лукаш Стефанко, исследователь ESET.
Специалисты ESET обнаружили 28 уникальных публикаций в Facebook в рамках шпионской кампании BladeHawk. Каждое из этих сообщений содержало поддельные описания приложений и ссылки, перейдя по которым исследователи ESET смогли загрузить 17 уникальных APK-файлов. Некоторые ссылки перенаправляли непосредственно на вредоносное приложение, тогда как другие – на стороннюю службу top4top.io, которая отслеживает количество загрузок файлов. Стоит отметить, что шпионские программы были загружены 1 418 раз.
Во вредоносных публикациях Facebook содержалась ссылка на загрузку мультиплатформенного бэкдора под названием 888 RAT, который доступен на «черном» рынке с 2018 года. Угроза способна выполнять 42 команды, которые получает из командного сервера (C&C).
Этот бэкдор может похищать и удалять файлы с устройства, делать снимки экрана, получать информацию о местоположении устройства и выманивать учетные данные Facebook с помощью фишинга.
Кроме этого, угроза позволяет злоумышленникам получать доступ к списку установленных приложений, SMS и контактам пользователя, перехватывать и делать фотографии, отправлять текстовые сообщения, записывать окружающие звуки и телефонные разговоры, а также звонить с устройства жертвы.
Эта шпионская деятельность непосредственно связана с двумя случаями, зафиксированными в 2020 году. В первом случае QiAnXin Threat Intelligence Center назвал группу, ответственную за атаки, – BladeHawk. Обе кампании распространялись через Facebook с использованием вредоносной программы, созданной с помощью автоматизированных инструментов (888 RAT и SpyNote). При этом все образцы угрозы использовали одни командные серверы. Стоит отметить, что продукты ESET обнаружили сотни образцов бэкдора 888 RAT на устройствах Android с 2018 года.
Более подробная информация о распространении шпионских программ BladeHawk доступна по ссылке.
Читайте также:
Распространенные схемы мошенничества в Facebook: как не попасть в ловушку злоумышленников
Специалисты ESET обнаружили новый опасный бэкдор
Опасная угроза атакует украинских пользователей Android и iOS